Um erro grave no programa de correio eletrrônico do sistema operacional Windows da Microsoft, descobrto nos últimos dias, permite que hackers introduzam código maligno na própria mensagem remetida e criem assim uma nova geração de vírus que agem independentemente da ação do usuário, apagando todos os arquivos existentes no computador do internauta. Hoje (20/7), a Microsoft colocou em seu site uma atualização de sistemas que corrige o problema.

"Ao contrario dos virus tradicionais, o novo virus não necessita sequer que esteja em arquivos anexados", nem há necessidade do usuário abrir arquivos vinculados à mensagem. "O grupo de pesquisa conhecido como Underground Security Systems
Research declarou já ter conseguido introduzir em testes um código deste tipo em e-mails. O instituto de seguranca de computadores SANS considerou o problema
como o mais grave erro de programacao até hoje descoberto. A Microsoft assumiu a existência do erro e está alertando os usuários em sua homepage em inglês", informa o boletim da ABKNet.

A falha - O boletim do SANS Institute confirma que o usuário fica vulnerável simplesmente lendo um e-mail recebido que contenha o código maligno. E relata que o primeiro alerta foi dado em 27/6 por Georgi Guninski. O SANS desenvolveu os testes e comprovou ser uma das mais sérias falhas das estações de trabalho com Windows nos últimos anos. Consultada, a Microsoft respondeu que só informaria detalhes após ter um programa corretivo. Em 14/7, a empresa divulgou comunicado sobre o assunto, e agora é apresentada a atualização dos programas. 

Segundo o instituto, o Internet Explorer usa um tag de objeto que carrega um controle ActiveX, que normalmente é um arquivo executável. Entretanto, os documentos do MS Office também são controles AtiveX. Na instalação-padrão (default), os controles ActiveX são carregados atuomaticamente, sem aviso ao usuário. O Internet Explorer pode ser configurado para dar esse alerta ao usuário, mas há uma falha importante pela qual o alerta só aparee quando o controle solicitado é um arquivo de dados do MS Accesss (extensão *.MDB).

Explica o SANS que a ordem de eventos nesse caso é: 1) o usuário abre uma página Web com um tag de objeto; o Internet Explorer carrega (por download) o banco de dados e chama o Access para abrir esse arquivo; 3) o Internet Explorer alrta o usuário, solicitando que autorize a abertura do arquivo; 4) O usuário clica em [Não]; 5) o Internet Explorer apresenta uma mensagem de erro de que algum código nessa página é inseguro.

"Como pode ser visto nessa sequëncia de eventos, a ordem de execução é falha. O Internet Explorer está abrindo o arquivo do Access antes de perguntar ao usuário se pode fazê-lo. Agora, se o usuário tiver desabilitado inteiramente a execução de controles ActiveX, a seguinte sequência de eventos deve ocorrer: 1) o usuário abre uma página Web com tag Objeto; 2) o Internet Explorer carrega o arquivo de dados e chama o Access para abrí-lo; 3) O Internet Explorer informa o usuário de que algum código na página é inseguro. Ainda assim, o arquivo de dados é aberto antes do Internet Explorer verificar se devem ser executados controles ActiveX.

"A Microsoft chama esse problema de vulnerabilidade IE Script. O título é enganador pois implica que se o Active Scripting está desabilitado o código maligno não funcionaria. Isso não é verdade", completa o SANS, explicando que, como demonstrou, desabilitar a execução de scripts não barra a ação do arquivo com código malicioso (o vírus, se for o caso).

Por outro lado, torna-se muito fácil enviar código maligno através de e-mail HTML, pois muitos programas populares de correio eletrônico, como Outlook, Outlook Express e Eudora permitem uma pré-visualização, que mostra mensagens formatadas com código HTML. O interpretador usado para esses programas é o Internet Explorer. Assim, o usuário não precisa abrir o e-mail ou carregar nada para um eventual código maligno funcionar. Além disso, se essa mensagem com código maligno for a única na caixa de mensagens no momento em que esta for aberta, será automaticamente executada nesse momento.

"Este é um problema muito sério devido ao poder da linguagem Visual Basic for Applications (VBA) usada no Access. Access pode rodar código VBA quando o banco de dados é aberto. Nós tivemos sucesso em fazer o Access se conectar a um arquivo de rede de trabalho Windows (CIFS) compartilhado na Internet e rodar um programa a prtir dele. Assim, um atacante pode rodar um programa com código maligno que não precisa residir na máquina do usuário."

O boletim especial do SANS Institute informa que a vulnerabilidade afeta todos os sistemas Windows (2000, NT 4.0, 98 e 95), que tenham instalados os programas MS Access 97 ou 2000; Internet Explorer 4.0 ou superior, incluindo 5.5 (Windows 2000 inclui IE 5); sistemas com Outlook, Outlook Express, Eudora ou qualquer outro leitor de correio eletrônico que use o Internet explorer para apresentar código HTML.

Mais uma - Outra falha do gênero é que o Excel 2000 e o PowerPoint 97 e 2000 podem ser chamados por script de dentro do Internet Explorer para gravar um arquivo numa locação arbitrária do disco rígido do usuário, tão logo o usuário acesse esse trecho de código. Isso habilita um atacante a salvar arquivos em lugares como o diretório Iniciar usado pelo ambiente Windows do computador da vítima.

Essa vulnerabilidade não é explorável se o Active Scripting e/ou a execução dos controles ActiveX estiverem desabilitados. O problema é que o Excel e o PowerPoint são marcados como seguros para a execução de rotinas (scripting). O arquivo de correção do programa (patch) deverá marcá-los como inseguros para a execução dessas rotinas.

São estes os endereços citados para os downloads de arquivos corretivos:

Para mais informações, o instituto sugere: